Jäsenrekisteri sekä rekisteri- ja tietosuojaselosteet
Yhdistyslain mukaan yhdistyksen on pidettävä jäsenistään luetteloa, joka on henkilörekisteri.
Yhdistyksen jäsenluettelo on laissa määritelty henkilörekisteri. Siihen on merkittävä vähintään kunkin jäsenen koko nimi sekä kotipaikka. Jäsenrekisteri sisältää usein lisäksi jäsenten yhteystiedot, jäsenmaksutietoja, jäseneksi liittymisen ajankohdan ja muita yhdistyksen toiminnan kannalta oleellisia tietoja. Samaan henkilörekisteriin kuuluvat erikseen pidetyt atk-rekisterit ja manuaaliset luettelot ja kortistot, jos niitä käytetään saman tehtävän hoitamiseen.
Jäsenrekisteristä vastaa usein esimerkiksi yhdistyksen sihteeri, taloudenhoitaja tai muu hallituksen jäsen, jonka erityiseksi tehtäväksi on määrätty jäsenrekisteristä huolehtiminen. Hallituksen on yhdessä huolehdittava siitä, ettei luettelossa ole virheellisiä, epätäydellisiä tai vanhentuneita tietoja. Kaikkien rekisteriin merkittävien tietojen on oltava yhdistyksen toiminnan kannalta tarpeellisia.
EU:n yleinen tietosuoja-asetus ei edellytä rekisteri- tai tietosuojaselosteen laatimista, toisin kuin 2018 saakka voimassa ollut henkilötietolaki. Rekisteröityjä täytyy kuitenkin informoida henkilötietojen käsittelystä ja organisaatiolla on oltava kyky osoittaa noudattavansa asetusta. Organisaatiot voivat laatia selosteen tarkoituksenmukaiseksi katsomallaan tavalla, kunhan tarvittavat tiedot käyvät selosteesta selkeästi ilmi.
Yhteyshenkilö: järjestöpäällikkö
Arkaluonteiset tiedot
Rekisteriin ei saa tallentaa arkaluonteisia tietoja. Arkaluonteisina pidetään sellaisia tietoja, jotka kuvaavat henkilön rotua tai etnistä alkuperää, vakaumusta tai ammattiliittoon kuulumista, rikollista tekoa, tai rangaistusta, terveydentilaa, sairautta, vammaa tai hoitotoimenpiteitä, seksuaalista suuntautumista tai sosiaalihuollon tarvetta, tukitoimia ja muita sosiaalihuollon etuuksia.
Arkaluonteisia tietoja saa kuitenkin tallentaa rekisteriin jäsenen nimenomaisella suostumuksella. Arkaluonteiset tiedot on poistettava rekisteristä heti, kun niille ei ole enää tarvetta. Arkaluonteisia tietoja ovat esimerkiksi henkilötunnukset ja ruoka-aineallergiat. Jälkimmäisen voi kiertää pyytämällä terveystiedoiksi katsottujen allergioiden sijaan jäseniä ilmoittamaan erityisruokavalionsa.
Tietojen käsitteleminen ja suojaaminen
Rekisterin tietoja pitää käsitellä lain mukaisesti ja huolellisesti, eikä jäsenten yksityisyyttä saa loukata. Kerättävät ja käsiteltävät tiedot on suojattava asiattomalta pääsyltä tietoihin sekä tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä ja muulta laittomalta käsittelyltä. Jäsenrekisteriä on syytä säilyttää salasanan takana ja vain rekisteristä vastaavan henkilön saatavilla.
Kullakin jäsenellä on oikeus saada tietää, mitä tietoja hänestä itsestään on jäsenrekisteriin tallennettu. Tietojen suojaaminen luovuttamiselta tarkoittaa sitä, ettei jäsenrekisterin henkilötietoja saa luovuttaa edes yhdistyksen muille jäsenille.
Henkilötietolaki määrää myös vaitiolovelvollisuudesta. Mikäli jäsenrekisteriä hallitessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saamiaan tietoja saa ilmaista sivulliselle.
Yhdistyksen jäsenillä on kuitenkin oikeus tietää muiden jäsenten nimet ja kotipaikat. Tällaista tietoa voidaan tarvita muun muassa silloin, kun yhdistyksen säännöt määräävät yhdistyksen kokouksen voivan kokoontua tietyn määrän jäsenistöstä sitä vaatiessa.
Rekisteriseloste ja seloste käsittelytoimista
Rekisterinpitäjän oli vanhan henkilötietolain (1999) mukaan laadittava henkilörekisteristä rekisteriseloste. EU:n tietosuoja-asetuksen myötä organisaatioiden kannattaa laatia kirjallinen kuvaus henkilötietojen käsittelystä, sillä vaikka tietosuoja-asetus ei siis edellytä enää selosteen laatimista, niin rekisteröityjä täytyy kuitenkin informoida henkilötietojen käsittelystä ja organisaatiolla on oltava kyky osoittaa noudattavansa asetusta. Näiden toteuttamiseksi tietosuojaselosteen laatiminen on hyvä ratkaisu. Tätä kuvausta kutsutaan myös selosteeksi käsittelytoimista.
Asiakirjaan sisällytettävät tiedot:
- rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
- henkilötietojen käsittelyn tarkoitus
- kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
- mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle
- kuvaus rekisterin suojauksen periaatteista
- kuvaus tarkastusoikeuden toteutumisesta (jokainen saa tarkastaa omat tietonsa); kerro miten tämä teillä toteutetaan
- tieto että jokaisella on oikeus vaatia tiedon korjaamista; kerro miten tämä teillä toteutetaan
- muut henkilötietojen käsittelyyn liittyvät oikeudet
Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Valmiita lomakkeita ja ohjeet rekisteriselosteen tekoon saa sähköisenä Tietosuojavaltuutetun toimistosta. Rekisteriselosteen voi sijoittaa esimerkiksi järjestön verkkosivuille.
Lähde: www.tietosuoja.fi, HYY:n järjestöwiki ja Henkilötietolaki / Finlex.fi
Suositus, jokaisen yhdistyksen kannattaa laatia rekisteriseloste: Tietosuojavaltuutetun ohjeet
Tietosuojavaltuutetun toimiston Mallipohja rekisterinpitäjälle: seloste käsittelytoimista (excel)
